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Bescheinigung 


Die DeTeMobil Deutsche Telekom MobilNet GmbH in Bonn/ 
Deutschland hat eine Patentanmeldung unter der Bezeichnung 

"Verfahren und Vorrichtung zur kundenseitigeh 
Personalisierung von GSM- Chips" 

am 4. August 1997 beim Deutschen Patentamt eingereicht. 

Die angehefteten Stiicke sind eine richtige und genaue Wieder- 
gabe der ursprunglichen Unterlagen dieser Patentanmeldung. 


Die Anmeldung hat im Deutschen Patentamt vorlaufig die Sym- 
bole H 04 Q, H 04 M und H 04 B der Internationalen Patent- 
klassif ikation erhalten* 
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ZuBammenfassunq 


Es wird ein Verfahren zur Personalisierung GSM-Chips 
beschrieben, in deren Speicherbereich mindestens eine 
Teilnehmer-Kennung IMSI und eine Kartennummer ICCID 
eingespeichert ist, und wobei zwecks Personalisierung dem Chip 
noch ein geheimer Schliissel Ki und ggf . weitere Daten 
eingespeichert sind. Es soil ein unnotig groSer 
Verwaltungsaufwand zur Verwaltung aller Kartendaten im 
Authentif ikationszentrum AC entfallen und die Aufbewahrung der 
geheimen Daten des Chips soil sicherer ausgebildet werden. Die 
Erfindung sieht vor, dafi der Chip die endgiiltigen Daten erst 
dann eingeschrieben erhalt, wenn der Teilnehmer sich in das 
Teilnehmernetz einbucht . Damit besteht der Vorteil, dafi in die 
Karte lediglich anfangliche Daten eingeschrieben werden, mit 
denen der Kunde lediglich in der Lage ist, erstmalig rait dem 
Rechenzentrum des Netzbetreibers Kontakt aufzunehmen. Bei 
diesem erstmaligen Kontakt werden dann die endgiiltigen Daten 
zwischen der Karte und dem Rechenzentrum ausgehandelt und in 
die Karte eingeschrieben. Das Rechenzentrum braucht deshalb nur 
die Karten zu verwalten, die auch tatsachlich an Kunden 
vergeben wurden. 
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T97017 DE 

4. August 1997 

Anmelder: DeTeMobil Deutsche Telekom MobilNet GmbH, 
Landgrabenweg 151, 53227 Bonn 

Verfahren und Vorrich tunq zur kundeneeiticren Personalis ieruna 

vqix <?SM- Chips t 

Vorgeschlagen wird ein Verfahren zur kundenseitigen 
Personalisierung von GSM- Chips, bei dem davon ausgegangen wird, 
dafi sich der Chip zum Zeitpunkt der Personalisierung im 
Endgerat des Kunden befindet. 

Nach dem Stand der Technik ist der GSM- Chip bei den 
Netzbetreibern zur Zeit in einer GSM-Karte implement iert , die 
in das Endgerat eingesteckt wird. Dieser Chip konnte genausogut 
fest in das Endgerat integriert sein. , z. B. auf einer 
Einschubkarte eines Computers. Bei dem vorliegenden Verfahren 
spielt es also keine Rolle, ob eine GSM-Karte oder ein Endgerat 
mit integriertem Chip verwendet wird. Unter dem Begriff "Chip" 
wird im weitesten Sinne ein EPROM, ein EEPROM oder auch ein 
"intelligenter" Mikroprozessor verstanden. 

Ohne Beschrankung auf eine bestimmte Ausfiihrungsf orm ist im 
folgenden von einem " Chip" und dem 11 Chipher s te 1 ler 11 die Rede. 

Bei der bisherigen, zentralen Personalisierung erhalt der Chip 
neben anderen Daten eine Kartennummer (ICCID) , eine 
Teilnehmerkennung (IMSI) und mehrere Geheimzahlen 
eingeschrieben . Wahrend der Chiphersteller ohne weiteres die 
Daten ICCID und IMSI in den Chip einbringen konnte, mochte der 
Netzbetreiber gerne selbst die Kontrolle uber die Geheimzahlen, 
insbesondere uber den Schlussel Ki, der nur der Karte und dem 
Netz bekannt sein soli, behalten. 

Bei der gegenwartigen, zentralen Personalisierung bekommt der 
Netzbetreiber Rohkarten vom Kartenhersteller und schreibt dann 


den endgultigen, geheimen Schlussel hinein. Dieser Schlussel 
ist dann nur zwei Stellen bekannt, namlich dem Chip selbst und 
dem Netzbetreiber . 

Nachteilig hierbei ist, daS im Rechenzentrum des Netzbetreibers 
eine aufcerordentlich hohe statische Last erzeugt wird. Mit 
einem Generator werden eine Vielzahl von Schlusseln erzeugt, 
die dann in die jeweiligen Karten eingebracht werden. Man 
schickt dann gleichzeitig den jeweils pro Karte erzeugten 
Schlussel zum Rechenzentrum (Authentif ikationszentrum AC) , und 
danach wird den Karte an die Verkauf sorganisationen 
herausgegeben. Das AC hat also im Moment der Herausgabe der 
jeweiligen Karte bereits alle Teilnehmerkennungen IMSI und die 
dazugehorenden geheimen Schlussel Ki gespeichert und muS diese 
verwalten, obwohl die jeweilige Karte noch irgendwo beim 
Handler liegt und noch gar nicht verkauf t worden ist. Bei einer 
groSeren Anzahl von Verkauf sstellen liegen also Karten, die 
noch nicht verkauf t wurden und deren Daten aber trotzdem vom AC 
verwaltet werden miissen. 

Aufierdem besteht prinzipiell die Gefahr, daS wenn ein 
Hersteller oder irgendein anderes Mitglied der 

Verkauf sorganisat ion die Karten personalisieren soli, es sein 
konnte, daS dieser Schlussel kompromittiert ist. Die 
anfangliche Personalisierung des. Chip ist also unsicher und mit 
der Gefahr des MiSbrauchs behaf tet . 

Der Erfindung liegt deshalb die Aufgabe zugrunde, ein 
Verfahren, eine Vorrichtung und einen Chip der eingangs 
genannten Art so weiterzubilden, daS ein unnotig grofier 
Verwaltungsaufwand im AC entfallen kann und dafi die 
Aufbewahrung der geheimen Daten des Chip sicherer ausgebildet 
ist . 

Zur Losung der gestellten Aufgabe ist die Erfindung durch die 
technische Lehre des Anspruchs 1 gekennzeichnet . Ein Chip nach 
der Erfindung ist durch die technische Lehre der Anspruche 6 
bis 10 gekennzeichnet. Im librigen wird die Vorrichtung zur 
kundenseitigen Personalisierung des GSM-Chips in den Anspruchen 
11 bis 13 beschrieben. 
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Mit der erf indungsgemaSen technischen Lehre werden insbesondere 
folgende Vorteile erreicht : 

- Vermeidung einer zentralen Personalisierung beim 
Netzbetreiber 

- Ausgabe von sehr vielen GSM- Chips ohne Erzeugung 
einer statischen Last beim Netzbetreiber 

- Wiederverwendung von "gebrauchten" GSM-Chips 

- RegelmaSiger Wechsel des secret Key Ki wahrend 
der Nutzungsdauer durch den Kunden. 

Mit dem hier vorgestellten Verfahren bringt der 
Geratehersteller/Chiphersteller initiale kartenbezogene Daten 
in den Chip ein, sozusagen eine Vorpersonalisierung . Die 
eigentliche Personalisierung nimmt der Netzbetreiber selbst zu 
einem spateren Zeitpunkt vor, und auch nur bei den Kunden, die 
ein Vertragsverhaltnis mit dem Netzbetreiber eingehen. 

Die Vorpersonalisierung erzeugt bei dem Netzbetreiber noch 
keine statische Last. Das Verfahren bietet somit die 
Voraussetzung, urn "Millionen" von GSM-Chips zu verteilen, z. B. 
in jedes Auto, in jeden Laptop oder in jede Alarmanlage, und 
spater nur die Chips der Kunden zu "aktivieren" , die ein . 
Vertragsverhaltnisse eingehen. 

Des weiteren ist es moglich, Karten wieder zuverwenden , falls 
ein Kunde sein Vertragsverhaltnis kiindigt (z. B. bei Verkauf 
seines Autos) . 

Speziell beim Netzbetreiber Dl konnte der Handler 
zuriickgegebene Karten erneut fur einen anderen Kunden 
f reischalten . Der Netzbetreiber spart somit die 
Personalisierung von Karten fur das Austauschgeschaf t ein. 

Zur Verwirklichung der technischen Lehre wird es bevorzugt, 
wenn der GSM-Chip Toolkit fahig ist. Insbesondere sollte das 
Endgerat Short Messages zum Netzbetreiber schicken konnen. 


AuSerdem sollte der Chip eine Funktion anbieten, den Chip 
wieder initial zu machen (s. u.) 

Im iibrigen kann auch das Endgerat oder ein anderes Gerat diese 
Funktion des Chip nutzen 

Die Kartennummer und die Versionsnummer (s. u.) sollten durch 
das Endgerat auslesbar sein (oder auf der GSM-Karte sichtbar 
sein) . 

Der Chiphersteller ist fur die Vorpersonalisierungzustandig. 
ICCID und IMSI werden einem Nummernpool entnommen, der Chip 
selbst leitet sich aus einem Schliissel Kl, den der 
Chiphersteller kennt, einen initialen Ki_l ab. PIN und PUK 
werden auf einen Defaultwert gesetzt. 

- Im AC erfolgt kein Eintrag 

- Wird ein Kunde gewonnen, erfolgt ein Eintrag im AC. Dieses 
leitet sich ebenfalls den initialen Key Ki_l ab. 

- Im HLR wird das Hotlining Flag gesetzt 

- Der erste Call wird zu einem Security Center geroutet 

- Dieses handelt mit dem Verfahren nach Dif f ie-Hellman einen 
neuen Ki_2 sowie einen PUK aus. 

- Gebrauchte Chips, die wiederverwendet werden sollen, werden 
mit einer internen Funktion zuriickgesetzt . 

Die Vorpersonalisierung. beim Chiphersteller erfolgt dergestalt, 
,da£ jeder Chiphersteller einen Bereich von Kartennummern und 
Teilnehmerkennungen zugeteilt bekommt . Die Nummernbereiche fur 
ICCID und IMSI sind so groS, daS dies moglich ist. 
Weiterhin erhalt der Chiphersteller folgende Daten vom 
Netzbetreiber : a, p, VER, Kl 

Der Chiphersteller bringt dann folgende Daten in jeden Chip 
ein: 


- ICCID Kartennummer 

- IMSI Teilnehmerkennung 

(ist an ICCID gebunden, z.;B. gleiche 
Position innerhalb der beiden 
Nummernbereiche fur ICCID und IMSI) 
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- a hinreichend groSe Zahl, Basis fur Diffie Hellman. 

- p hinreichend groSe Zahl, Primzahl fur Diffie Hellman 

- VER Versionsnummer, z. B. 8 Byte, eindeutig je 

Chiphersteller (kann ofters gewechselt 
werden) 

- Kl 8 Byte DES-Schliissel , eindeutig an VER gebunden 


Bemerkung: Der Netzbetreiber konnte sich mit einem 
Masterkey den Schliissel Kl aus der 
Versionsnummer VER ableiten (z. B. mit 
DES-Verf ahren) . Dies ist aber nicht 
notwendig. 

Per Chip generiert sich dann folgende Geheimzahlen; 

- Ki_l K i_l ist ein initialer Ki, den der Chip mit dem DES- 
Schliissel Kl aus der IMSI ableitet. 

- PIN Die PIN wird fest auf 0000 gesetzt 

- PUK Der PUK wird fest auf 00000000 gesetzt 

- ggf . weitere Geheimzahlen 

Der Chip muS Kl und die generierten Geheimzahlen in einem 
sicheren Bereich halten und vor Auslesen schiitzen. 

Die Vorgange im Authentif ikationszentrum AC: 

- Das AC kennt von jeder Versionsnummer VER den 
Schliissel Kl (kann Kl mit einem Masterkey aus 
VER abgeleitet werden, brauchen die an die 
Chiphersteller ausgegebenen Kl nicht gespeichert 
zu werden) 

- Die von den Chips generierten initialen Ki_l 
werden nicht in das AC eingetragen 

Das AC kennt auch die IMSIs noch nicht, somit 
ist keine statische Last vorhanden 


Kundengewinnung und Freischaltung durch den Netzbetreiber 


6 


Mochte ein Kunde sein Gerat (seine Karte, seinen Chip) nutzen, 
geht er mit dem Netzbetreiber einen Vertrag ein. Die 
Kartennummer (ICCID) identif iziert den Chip. 

Der Netzbetreiber veranlaSt folgende Aktionen: 

- Auslesen oder Ablesen von Kartennummer und 
Versionsnummer ( ICCID, VER) 

- Der ICCID ist die IMSI fest zugeordnet 

- im AC werden IMSI und VER eingetragen 

(jetzt erst wird das Teilnehmerverhaltnis im AC 
bekannt gemacht) 

- Das AC kennt den Schlussel Kl, der fest an VER 
gebunden ist und generiert sich aus Kl den 
initial en Schlussel 

Ki__l nach dem gleichen Verfahren, das im Chip 
verwendet wurde,. aus der IMSI 

- Das HLR setzt das "Hotlining Flag" zu dieser 
IMSI. Der erste Call geht dann zu einem SC 
(Security Center) 

(das SC konnte auch das HLR/AC selbst sein) 
Der erste Call: Endpersonalisierung des Chip 

- Da der Chip und das AC jetzt den gleichen secret Key Ki_l 
kennen, bucht der Chip im Netz ein (Die PIN ist 0000 und dem 
Kunden bekannt ) 

- Der erste Call wird wegen Hotlining automatisch zum SC 
geroutet . Je nach Software im toolkit -fahigen Endgerat konnte 
der erste call bereits eine Short Message sein 

- Das SC nutzt die Toolkitfahigkeit des Chip aus und handelt 
mit dem Chip einen neuen secret key Ki_2 aus. 

Hierbei wird das Verfahren nach Diffie Hellmann verwendet, das 
folgende Vorteile bietet : 

* beliebig lange Keys sind aushandelbar 

* Abhoren auf der Luf tschnittstelle reicht nicht aus, den 
generierten Schlussel auszuspahen 

Der Chip speichert den neuen Key Ki_2 ab (dieser wird im 
folgenden zur Authentikation verwendet) . 
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- Der neue Key kann sofort verifiziert werden (z. B. challenge 
respone wie bei GSM iiblich) 

- Das SC iibertragt den neuen Ki_2 an das AC 

- Ebenfalls per Diffie Hellman handelt das SC auch einen PUK 
(oder weitere Geheimzahlen) mit dem Chip aus . (Der 
Netzbetreiber kann dem Kunden die Geheimzahlen anschlieSend 
mitteilen oder auch fur Service -Zwecke selbst behalten) 

- Im HLR wird das Hotlining Flag entfernt. Damit sind jetzt 
regulare Calls moglich, wobei ab diesem Zeitpunkt der neue 
secret Key Ki_2 verwendet wird 

- Das toolkitf ahige Endgerat informiert den Kunden uber Erfolg 
oder MiSerfolg 

- Das toolkitf ahige Endgerat konnte dem Kunden anbieten, die 
PIN neu zu setzen 

Wiede;rverwentiung gebrauchter Chips / Karten 

Sei das Teilnehmerverhaltnis im HLR und AC ausgetragen, weil 
der Kunde gekiindigt hat . Bei VertragsabschluS mit dem neuen 
Kunden und dem gebrauchten Chip muS folgendes geschehen: 

Zuerst wird die Funktion des Endgerats zum Initialisieren des 
Chips genutzt. Daraufhin wird im Chip: 

- Ki_2 wird geloscht 

- Ki__l wird wieder aktiviert 

- die PIN wird auf 0000 gesetzt 

- der PUK wird auf 00000000 gesetzt (analog mit 
weiteren Geheimzahlen PUK2) 

Diese Funktion konnte innerhalb des Dl-Netzes beispielsweise 
der X13 aktivieren, der bei vielen Handlern steht . Damit hat 
der Handler wieder eine initiale Karte zum Vergeben. 

Weiter geht es wie bei Kundengewinnung und Freischaltung durch 
den Netzbetreiber (s. o.) 


Wechael des secret key wahrend der Nutzuncrsdauer des Ch ip 
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Der Netzbetreiber hat die Moglichkeit, in regelmaSigen 
Abstanden einen Wechsel des Ki zu erzwingen. Dazu reicht es 
aus, im HLR das Hot lining-Flag zu setzen, den Call zum SC zu 
routen und wie oben beschrieben einen neuen Ki auszuhandeln. 
Der PUK sollte diesmal jedoch nicht neu ausgehandelt werden. 

Fn giirh^ M i Rhr-anfihsazpnari en (hi^r fur PJ ^argftfftel l t) 

1. Der Schliissel KI eines Chipherstellers ist kompr omit tier t 
und eine Karte wird nachgemacht 

1.1 Die IMSI ist im AC noch nicht bekannt 
Die Karte bucht nicht ein 

1.2 Die IMSI der echten Karte ist bereits im AC und wurde 
bereits endpersonalisiert 

Die falsche Karte bucht. nicht ein, da Ki_l ungleich Ki_2 ist 
(Authentikation gescheitert) 

1.3 Die echte IMSI ist bereits im AC, wurde aber noch nicht 
endpersonalisiert 

Dies ist der kurze Zeitraum zwischen VertragsabschluS und 
erstem Einschalten des Gerats. In dieser Zeit konnte sich 
eine Kartenf alschung "dazwischenschieben" . Die echte Karte 
wurde danach nicht einbuchen konnen, da sie nicht den Ki_2 
der Falschung besitzt . Dieses Szenario konnte 
organisatorisch vermieden werden, z.B. indem bei der 
Subscription eine Geheimzahl auf das Auf tragsf ormular 
geschrieben wird, die der Kunde nach dem Schliissel- 
Aushandigen eingeben muS, die zum SC geschickt wird und dort 
gepriift wird. 

2. Der Kunde macht seine eigene Karte initial (z. B. mit X13) 
Die Karte hat danach den Ki_l und bucht nicht mehr ein. 

Die Erfindung wird nun anhand eines Ausf iihrungsbei spiels anhand 
der Zeichnungen naher beschrieben. Hierbei gehen aus den 
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Zeichnungen und ihrer Beschreibung weitere Merkmale und 
Vorteile hervor. 

Es zeigen: 

Figur 1: Schematisiert die Vorpersonalisierung 
der Karten beim Kartenhersteller ; 

Figur 2: Schematisiert die Vorgange beim Frei- 
schalten durch den Netzbetreiber 
(Endpersonalisierung) ; 

Figur 3 : Schematisiert die Vorgange beim Loschen 
des Chips und bei der Wiederverwendung . 

In Figur 1 ist zeichnerisch dargestellt, was bereits schon auf 
Seite 4 der Beschreibung angegeben ist, daS namlich die 
Kartennummer ICCID in einem Bereich von einer Zahl X bis zu 
einer Zahl Y vorliegt. 

Gleiches gilt fur die Teilnehmerkennung IMSI, die ebenfalls in 
einem Zahlenbereich von A-B vorliegt . 

Innerhalb der beiden Nummernbereiche fur die ICCID und fur die 
IMSI wird ferner eine Zahl a als Basis fur die Diffie Hellman 
gewahlt und ebenso eine Zahl p, die als Primzahl fur die Diffie 
Hellman-Verschlusselung dient . 

Es wird ferner eine VER definiert, die als Funktionsnummer 8 
Byte lang sein kann und ferner wird der Schliissel Kl als DES- 
Schliissel errechnet, der an VER gebunden ist. 

Die genannten Daten werden in die Karte eingeschrieben und 
hierbei generiert (errechnet) der Chip dann die Geheimzahl 
Ki_l, welche in der Karte gespeichert wird. Die Karte wird in 
dieser Form (Vorpersonalisierung) an die VO 
(Verkauf sorganisation) ausgelief ert . 
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In Figur 2 sind die einzelnen Vorgange beschrieben, die ab 
Seite 5 der Beschreibung dargestellt sind. 

Die VO geht in einem ersten Verf ahrensschritt mit dem Kunden 
einen Vertrag ein. Im gleichen Verf ahrensschritt wird die 
Kartennummer ICCID und die Versionsnummer in einer 
Auftragsbestatigung zusammen mit dem Vertrag eingetragen und 
diese Auftragsbestatigung wird in einem zweiten 
Verfahrensschritt zusammen mit der Teilnehmerkennung und der 
Versionsnummer VER an das AC mitgeteilt . 

Gleichzeitig wird durch Mitteilung der Teilnehmerkennung IMSI 
an das HLR dafiir gesorgt, da£ das HLR die Kartendaten zur 
Kenntnis erhalt und das sogenannte Hotlining Flag einrichtet . 

Der Kunde erhalt nun seine vorpersonalisierte Karte und nimmt 
mit dem ersten Anruf - der im Sinne der vorliegenden Erfindung 
zwangslaufig auf das SC geschaltet ist - Kontakt mit dem SC 
auf , wobei bei diesem ersten Anruf die Ki_2 ausgehandelt wird, 
ebenso wie die PUK und gleichzeitig wird auch die PIN neu 
gesetzt. Das SC andererseits verifiziert die geheime 
Schliisselzahl Ki_2 gegenviber der Karte. 

In einem vierten Verfahrensschritt nimmt SC Kontakt mit dem HLR 
auf und entfernt das Hotlining Flag, was dem Kunden nun die 
Moglichkeit gibt, beliebige Calls abzusetzen. 

Das SC teilt im vierten Verfahrensschritt gleichzeitig die 
geheime Schliisselzahl Ki_2 dem AC mit. 

Damit ist die Karte f reigeschaltet und endpersonalisiert . 

Die Wiederverwendung gebrauchter Karten ist auf Seite der 
Beschreibung naher dargestellt. Hierbei ist in Figur- 3 
erkennbar, daS der Kunde mit seiner Karte sich an die VO 
wendet, welche durch Eintragung der Kartennummer ICCID in die 
Auftragsbestatigung dafvir sorgt, daS im AC die IMSI geloscht 
wird und gleichzeitig auch im HLR. 


Damit wird auch die Ki__2 geloscht und die Ki_ 1 wird wieder 
aktiviert und in die Karte eingespeichert . Ebenso wird die PIN 
auf den Wert OOOO gesetzt und ebenfalls die PUK. 

Die so wieder vorpersonalisierte Karte kann denn in einen 
Kartenpool eingestellt werden und fur neue Kunden vergeben 
we r den . 

Die Endpersonalisierung wurde also wieder rilckgangig gemacht 
und des liegt wieder der Zustand der Karte vor, wie er zum 
Zeitpunkt der Vorpersonalisierung bestand. 

Es sei noch angemerkt, daS die Stelle des Netzbetreibers , bei 

welcher die Auf tragsbestatigung abgewickelt wird, als 

Auf tragsannahmestelle bezeichnet wird und diese 

Auf tragsannahmestelle kennt die Zuordnungen von ICCID zu IMSI 

wegen der 1 : 1-Zuordnung innerhalb des vergebenen 

Nummernbereiches . 
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T97017 DE 

4. August 1997 


Anmelder: DeTeMobil Deutsche Telekom MobilNet GmbH, 
Landgrabenweg 151, 53227 Bonn 


p a t-.entanBt)ruche 


1. Verfahren zur Personal isierung von GSM-Chips, in deren 
Speicherbereich mindestens eine Teilnehmer-Kennung IMSI und 
eine Kartennummer ICCID eingespeichert ist, und wobei zwecks 
Personalis ierung dem Chip noch ein geheimer Schlussel Ki und 
gegebenenfalls weitere Daten eingespeichert sind, 

dadurch gekennzeichnet, daS die Personalisierung des Chips dann 
erfolgt, wenn der Teilnehmer sich in das Teilnehmernetz 
einbucht . 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi die 

Personalisierung des Chips dann erfolgt, wenn der Teilnehmer 
sich pretrials in das Teilnehmernetz einbucht. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, 

daS zur Vorpersonalisierung des Chips beim Hersteller zunachst 
initiale, kartenbezogene Daten, namlich ein erster, geheimer 
Schlussel Ki_l und gegebenenfalls weitere Daten, wie PIN und 
PUK eingespeichert werden. 

4. Verfahren nach einem der Anspruche 1-3, gekennzeichnet durch 
folgende Verf ahrensschritte : 

in einem ersten Verf ahrensschritt entnimmt der Chiphersteller 
die ICCID und IMSI einem Nummempool, der Chip selbst leitet 
sich aus einem Schlussel Kl, den der Chiphersteller kennt und 
in den Chip einbringt, einen initialen Ki_l ab, PIN und PUK 
werden auf einen Defaultwert gesetzt, 
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in einem zweiten Verf ahrensschritt erfolgt ein Eintrag im AC 
und HLR, sobald ein Teilnehmer einen Vertrag mit dem 
Netzbetreiber geschlossen hat, 

in einem dritten Verf ahrensschritt leitet sich das AC ebenfalls 
den initialen, ersten Schliissel Ki_l ab 

in einem vierten Verf ahrensschritt setzt das Netz die 
Bedingungen, damit beim Einbuchen ins Netz eine Verbindung vom 
Chip zur Komponente SC (Security Center des Netzbetreibers) 
entsteht , 

in einem fiinften Verf ahrensschritt wird beim ersten Einbuchen 
die Verbindung vom Chip zum SC geschaltet 

in einem sechsten Verf ahrensschritt wird im SC ein neuer, 
zweiter, geheimer Schlussel Ki_2, sowie gegebenenf alls ein PUK 
mit dem Chip ausgehandelt (z.B. mit dem Verfahren nach Diffie- 
Hellman) oder im SC erzeugt und zum Chip ubertragen 

in einem siebten Verf ahrensschritt werden die Bedingungen aus 
Verf ahrensschritt 4 wieder ausgeschaltet . 

5. Verfahren nach einem der Anspriiche 1-4, dadurch 
gekennzeichnet, da£ der erstmalig in den Chip eingespeicherte , 
initiale, geheime Schlussel Ki_l vor VertragsabschluS nicht in 
das AC ubertragen und dort gespeichert wird. 

6. Chip zur Ausiibung des Verfahrens nach einem der Anspriiche 1- 
5, dadurch gekennzeichnet, dafi der Chip im Endgerat 
toolkitfahig ist , und mit dem SC kommunizieren kann und einen 
Schlussel aushandeln kann. 

7. Chip nach Anspruch 6, dadurch gekennzeichnet, dafi der Chip 
Daten aus dem SC empfangen kann und diese in seinen Speicher 
einschreibt und gegebenenf alls aus dem Speicher ausliest, 
verandert und/oder an das Rechenzentrum (SC) iibertragt . 


8. Chip nach einem der Anspruche 6 oder 7, dadurch 
gekennzeichnet, daS sein Mikroprozessor einen geheimen 
Schliissel mit dem SC aushandelt . 


9. Chip nach Anspruch 8, dadurch gekennzeichnet, daS zum 

Aushandeln des Schlussels des Verfahrens das Verfahren nach 
Dif f ie-Hellman ist. 

10. Chip nach einem der Anspruche 6-9, dadurch gekennzeichnet, 
dafi der Chip eine vom Hersteller fest programmierte Rufnummer 
enthalt (fixed dialing) . 

11. Rechenzentrum zur Ausiibung des Verfahrens nach einem der 
Anspruche 1-5, dadurch gekennzeichnet, daS das HLR geeignet 
ist, einen Umleitungsbef ehl (Hotlining-Flag) zu setzen und zu 
loschen . 

12. Rechenzentrum zur Ausiibung des Verfahrens nach einem der 
Anspruche 1-5, unter Verwendung eines Chips nach einem der 
Anspruche 6-10, dadurch gekennzeichnet, dafi 

das Netz die Bedingungen setzt, damit beim Einbuchen ins Netz 
eine Verbindung vom Chip zur Komponente SC entsteht . 

13 . Rechenzentrum zur Ausiibung des Verfahrens nach einem der 
Anspruche 1-5, unter Verwendung eines Chips nach einem der 
Anspruche 6-10, dadurch gekennzeichnet, dafi mit der erstmaligen 
Eintragung des initialen Schliissel Ki_l in das AC auch das 
Hotlining flag im HLR ge setzt wird. 
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